A Auditoria Interna

A auditoria é um conceito muito mais amplo do que a simples detecção de erros e falhas (análise de conformidade). A auditoria pode ser referida como um exame crítico que tem a finalidade de avaliar a eficácia e eficiência de um departamento ou uma organização, e tem o objectivo de analisar o funcionamento parcelar ou global das organizações, de modo a avaliar as deficiências de desempenho, informar a Gestão Executiva dos impactos potenciais dos riscos e sugerir vias de correcção e melhoria.

Pode-se deste modo afirmar que a auditoria é uma operação de análise e diagnóstico da empresa, tendo em consideração todos os aspectos da sua gestão, a fim de avaliar a coerência, a racionalização de processos e de apreciar a validade e o rigor dos resultados . (Carneiro, 2004) De referir que a principal diferença entre a auditoria interna e a auditoria externa é, não apenas o facto de a origem dos auditores ser interna à empresa ou externa mas também as suas finalidades distintas. A auditoria externa é mais utilizada quando se pretende um relato mais distante entre auditores e auditados. Recorre-se igualmente à auditoria externa quando se pretendem auditar matérias de cariz muito técnico, ou seja, em que o conhecimento dos auditores terá de ser bastante especializado.

A auditoria interna é, como já referido, exercida por técnicos da própria organização e pretende ser um órgão de suporte e auxilio à gestão, constituindo uma função de avaliação independente que tenha por finalidade a avaliação das actividades da organização e assim apoiar a administração. Em 1978 o Institute of Internal Auditors IIA introduziu os standards para a prática profissional da auditoria interna, proporcionando consistência internacional e uma ferramenta para avaliar a qualidade do processo de auditoria interna. Desde então, o IIA tornou-se na entidade de referência mundial da auditoria interna.

Em Janeiro de 2002 o IIA adoptou a revisão dos standards de auditoria, os quais incluíam a seguinte definição:

A auditoria interna é uma actividade independente, com objectivo de garantir a confiança e o conhecimento especializado, e concebida para adicionar valor e melhorar a operacionalidade da organização. Contribui para que a organização atinja os seus objectivos criando uma abordagem, sistemática e disciplinada, para avaliar e melhorar a performance dos processos de gestão de riscos, de controlo interno e de governação. (IIA, 2009)

a) O Processo de Auditoria

O processo de auditoria é baseado numa série de procedimentos globalmente aceites. O papel do auditor é o de assegurar que os objectivos da auditoria são atingidos através da aplicação dos standards profissionais.

Durante uma auditoria é importante recordar que todas as decisões e opiniões precisam de um suporte de evidência e documentação. Cabe ao auditor a responsabilidade de assegurar a consistência do processo de auditoria.

Existem 10 fases a considerar quando se realiza uma auditoria (Cannon et al, 2006): Plano da actividade de auditoria;

Programar a auditoria;

Definição dos riscos e objectivos de controlo a avaliar; Determinar o âmbito da auditoria e a auditabilidade; Executar a auditoria;

Data Warehouse Modelo de Auditoria e Controlo Interno

Realizar testes de auditoria; Analisar os resultados;

Relatar as deficiências encontradas; Conduzir actividades de Follow-up.

b) Os Tipos de Auditoria

Para a auditoria de um sistema Data Warehouse importa realçar mais três tipos de auditoria:

Auditoria de gestão, que visa monitorizar os objectivos estratégicos e tácticos de alto nível, bem como o processo de tomada de decisão, os critérios, políticas e procedimentos para a respectiva aplicação aos sistemas da organização. A finalidade deste tipo de auditoria é a de verificar em que medida os recursos limitados à disposição da gestão estão a ser aplicados, do ponto de vista da eficiência, eficácia e economia. A Auditoria de gestão emite pareceres, nomeadamente, sobre os objectivos definidos e as políticas seguidas, o processo de planeamento estratégico, a estrutura organizacional e sua adequação com os objectivos globais, a metodologia de controlo interno, os respectivos procedimentos e resultados obtidos.

Auditoria de Sistemas abrange, não apenas a função informática, mas todos os Sistemas de Informação, informatizados ou não, analisando e avaliando os controlos de processamento de informação, a formulação e instalação dos sistemas, verificando os fluxos de informação, a eficiência dos recursos informáticos e o processamento e a integridade dos dados. A Auditoria de sistemas abrange os processos de planeamento, desenvolvimento, testes e aplicação dos sistemas, quer examinando a estrutura lógica, física, ambiental, de controlo, segurança e protecção dos dados. Os objectivos da Auditoria de sistemas passa por assegurar os níveis de confiança dos utilizadores, controlar os objectivos de segurança dos dados, dos componentes tecnológicos, contribuindo para a adequada governação da função informática e do compromisso de responder a metas e objectivos organizacionais, minimizar e controlar os níveis dos riscos inerentes à utilização de tecnologias de informação, e assegurar a integridade, confidencialidade e fiabilidade da informação mediante o controlo e recomendação de objectivos de segurança.

Auditoria Informática é uma sub aplicação da Auditoria de sistemas, especificamente direccionada para as ferramentas informáticas e respectiva envolvente tecnológica. Sendo praticada por técnicos especializados, internos ou externos, este tipo de auditoria visa inventariar e avaliar os meios físicos e as tecnologias adequadas à recolha e processamento de dados e informação, examinar os controlos e avaliar a sua eficácia, validar a qualidade e utilidade da informação obtida e verificar a sua segurança face ao parque informático.

c) O Papel do auditor informático

A função do auditor de sistemas de informação é a de avaliar os controlos internos da organização. Os controlos internos são um requisito do processamento diário em todos os computadores.

Os tipos de controlos que se aplicam ao serviço prestado pelas TI são (Bacik, 2008)

Uma auditoria é simplesmente uma revisão do passado. Ao auditor de Sistemas de Informação é esperado que siga o já definido processo de auditoria, estabeleça os critérios, recolha as evidências significantes, e dê uma opinião independente acerca dos controlos internos.

O sucesso de um auditor está relacionado com a sua capacidade para reportar objectivamente os resultados das investigações, quer estes sejam bons ou maus, e também que esses resultados sejam verificáveis. A função do auditor é a de reportar o que as evidências apontam.

Data Warehouse Modelo de Auditoria e Controlo Interno